Trio of SQL Injection Flaws Strike Amazon Redshift Drivers: Patch Immediately
2024/12/25 SecurityOnline — AWS が提供するデータウェアハウス・サービス Amazon Redshift のドライバに、3つの SQL インジェクション脆弱性 CVE-2024-12744/CVE-2024-12745/CVE-2024-12746 (CVSS:8.0) が発見された。これらの脆弱性を悪用する攻撃者は、権限を昇格させ、標的データに甚大な被害をもたらす可能性を手にする。
これらの脆弱性は、Amazon Redshift の JDBC Driver/Python Connector/ODBC Driver の、以下のバージョンに影響をおよぼす:
- Amazon Redshift JDBC Driver:2.1.0.31
- Amazon Redshift Python Connector:2.1.4
- Amazon Redshift ODBC Driver (Windows/Linux):2.1.5.0
これらの脆弱性の核心は、Redshift のメタデータ API とインタラクト際の、影響を受けるバージョンのドライバによる、ユーザー入力データの処理方法にある。これらの API (JDBC と Python では getSchemas/getTables/getColumns、ODBC では SQLTables/SQLColumns) は、データベースのスキーマ/テーブル/カラムに関する情報を取得するために使用されており、SQL インジェクション攻撃の影響を受けやすいとされる。
簡単に言うと、攻撃者が作成する入力データが脆弱な API に処理されると、Redshift サーバに送信されるクエリに対して、悪意の SQL コードの注入が可能になる。そうすることで、特権への昇格に加えて、機密データへのアクセス/変更/削除などを、攻撃者は実行できるようになる。
すでに Amazon Redshift チームは、影響を受ける各ドライバの修正版をリリースし、この脆弱性に対処している。
- Amazon Redshift JDBC Driver:2.1.0.32
- Amazon Redshift Python Connector:2.1.5
- Amazon Redshift ODBC Driver:2.1.6.0
このパッチには、重要なセキュリティ強化策が実装されている。それにより、すべてのメタデータ・コマンド入力は、パラメータ化されたクエリの一部として Redshift サーバに送信されるようになっている。つまり、QUOTE_IDENT(string)/QUOTE_LITERAL(string) を用いることで、ユーザーが入力したデータは適切にエスケープされ、SQL インジェクションの脅威は効果的に無効化される。こうした処理の後に、コマンドは安全に構築され、サーバ上で実行される。
速やかなアップグレードが不可能なユーザーに対して、Amazon が推奨する一時的な回避策は、影響を受けていない以前のバージョンに戻すことだ。
- Amazon Redshift ODBC Driver (Windows/Linux):2.1.4.0 にリバートする
- Amazon Redshift JDBC Driver:2.1.0.30 にリバートする
- Amazon Redshift Python Connector:2.1.3 にリバートする
Amazon Redshift のドライバに、3つの SQL インジェクション脆弱性が FIX しました。いずれも CVSS 8.0 という深刻なものなので、ご利用のチームは、ご注意ください。なお、直近の関連ポストは、2024/05/16 の「Amazon Redshift JDBC Driver の SQLi 脆弱性 CVE-2024-32888 (CVSS 10) が FIX:ただちにパッチを!」となります。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.